Active! Mail má kritickú zero-day zraniteľnosť

Spoločnosť Qualitia opravila kritickú zraniteľnosť v mailovom klientovi Active! Mail, ktorá umožňuje vzdialené vykonávanie kódu. Zraniteľnosť útočníci aktívne zneužívajú.

Zraniteľné systémy:

• Active! Mail BuildInfo: 6.60.05008561 a staršie

Opis činnosti:

CVE-2025-42599 (CVSS skóre 9,8)

Vývojári webového mailového klienta Active! Mail opravili kritickú aktívne zneužívanú zraniteľnosť, ktorá umožňuje vzdialené vykonávanie kódu, alebo môže spôsobiť nedostupnosť služby. Chyba spočíva v pretečení medzipamäte zásobníka. Vzdialený neautentifikovaný útočník ju môže zneužiť odoslaním špeciálne vytvorenej požiadavky zraniteľnej inštancii servera Active! Mail. Interakcia používateľa nie je potrebná.

Aplikácia je obľúbená najmä v japonsko-jazyčnom prostredí.

Možné škody:

• Vzdialené vykonávanie kódu
• Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Active! Mail aspoň na verziu BuildInfo: 6.60.06008562.

Odkazy:

• https://www.bleepingcomputer.com/news/security/active-mail-rce-flaw-exploited-in-attacks-on-japanese-orgs/
• https://nvd.nist.gov/vuln/detail/CVE-2025-42599